Ny bølge af ransomware-angreb netop nu: Sådan spotter du mails med 'Locky'

Ransomwaren Locky er usædvanlig aktiv netop i disse dage, hvor der masse-udsendes mails med ransomwaren.

Artikel top billede

Billeder: Cisco/Talos.

Ransomwaren Locky var i det meste 2016 en konstant trussel, men da året lakkede mod enden, gik både Locky og botnettet Necurs, der står bag spammails med blandt andet Locky, i dvale.

I det seneste stykke tid er både Necurs og Lucky dog i dén grad vendt tilbage, og der udsendes massive mængder spammails med Locky i øjeblikket.

Det er derfor også vigtigt, at man er ekstra på vagt over for Locky i øjeblikket.

Det skriver Ciscos sikkerhedsafdeling, Talos, i en orientering om Locky.

"Den 21. april opserverede Talos den første store Locky-kampagne fra Necurs i måneder." 

"Denne kampagne udnyttede teknikker, der hænger sammen med en nylig Dridex-kampagne, og distibueres i øjeblikket i meget stor volumen."

Sådan genkender du Locky-mails

Talos har blandt andet registret over 35.000 Locky-emails på ganske få timer. 

Det er en række forskellige mails, der er på spil, men hovedtemaet ser ud til at være 'betalinger' og 'kvitteringer'.

Man kan dog blandt andet spotte de nye mails ved, at de ikke indeholder nogen body-tekst, men i stedet kun emne-tekst ('payment'" eller 'receipt') og en vedhæftet fil.

Læs også: Ny ondsindet Word-fil på spil - kan ramme både Windows og Mac med malware

Filnavnet på den vedhæftede fil ændrer sig løbende, men ofte begynder filnavnet med bogstavet P, hvilket efterfølges af tre til fem tal.

Det er som udgangspunkt en PDF-fil, der er vedhæftet, men i nogle tilfælde leder denne PDF ofrene videre til en Word-fil med makroer.

"Disse Word-dokumenter anvender så makroer til at hente Locky og kryptere filer," skriver Talos.

Det betyder også, at det er ofrene selv, der skal klikke 'ok' til Word og makroer - hvilket er en vigtig viden, hvis man ønsker at beskytte sig mod Locky.

"Dette kan være den første signifikante bølge af Locky-distribution i 2017," skriver Talos.

Sikkerhedsfirmaet tilføjer, at Locky i 2017-udgaven er anderledes på grund af den nye angrebsmetode, hvor man forsøger at lokke brugerne til at klikke 'ok' i den vedhæftede PDF:

"Det er en effektiv teknik til at slippe forbi sandbox-miljøer, der ikke tillader bruger-interaktion, og det kan øge sandsynligheden for, at det når frem til en slutbrugers indbakke."

Læs også:

Frygtet ransomware gik pludselig i dvale - nu er der ildevarslende tegn på et comeback

Botnet gik pludselig i mystisk dvale - nu er det tilbage med skræmmende styrke: Pas på disse mails

Læses lige nu

    Annonceindlæg fra Kommando

    Identity: Kortere levetid på certifikater øger risikoen for nedbrud

    Digitale certifikater er fundamentet for tillid. Nu ændres vilkårene, og der stilles helt nye krav til, hvordan I arbejder med overblik og styring.

    TD SYNNEX Denmark ApS

    Sales Coordinator

    Københavnsområdet

    Politiets Efterretningstjeneste

    Netværksspecialist der vil være med, når det gælder til PET

    Københavnsområdet

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S